Создание Android-смартфона с упором на приватность

[Shaman_RSHU]

Для каждого приложения подогнал списки доменов и прав на телефоне таким образом, чтобы всё работало и всё лишнее было заблокировано.

Сколько времени занял сбор трафика и тестирование одного приложения? Не секрет, что при использовании различной функциональности в приложении оно может обращаться к разным ресурсам. Не станет ли такая "блокировка в лоб" боком? Обжигался на таком, когда ограничивал SmartTV.

[Vadim_Klimov]

По времени сбора трафика, - я ориентировался только на тот функционал приложения, который мне нужен, его оставил. Для каждого приложения количество времени было разным, для одного оно могло быть пол часа - а для другого около полутора дня. Главным было понять, какой трафик относится именно к самому приложению, а какой - аналитика/трекинг/телеметрии

[reniceisnotnice]

1. Приложения в тестовой среде ведут себя не так как на реальном физическом устройстве. Анализ трафика в такой среде не показатель. Попробуйте аналогичным образом любое приложение Яндекса проанализировать - удивитесь. Только реальное устройство с pcap/анализом трафика с сети.

2. Что по safetynet? Без гуглосервисов, с разблокированным загрузчиком ни одно банковское приложение не будет работать. Да, есть web app, но в том же Сбере вы наличку через него не закажете, да и других многих функций нет. Если честно, то в таком девайсе если будет какой-то модуль magisk скомпрометирован, то вы даже это не поймёте и будете дальше использовать зараженное устройство.

3. Что по удобству использования? Допустим есть мессенджер 1 (доверенный) и 2 (недоверенный). Каким образом между ними файлы передаются?

4. То что приложение установлено в изолированной среде без контактов или без реальных контактов с нагенерированными файлами в ФС выглядит подозрительно, может в теории приводить к банам со стороны сервисов или бесконечной капче. По факту все можно свести к такому упрощению: для недоверенных приложений отдельное устройство (банки, доставки и прочие прелести беззаботной жизни), кнопочная звонилка для связи без анализа активностей, социальных графов и ТД и телефон на графене (если нужны расширенные мультимедийные возможности). P.s. в свое время заморачивался, а затем стал просто в свою пользу это все заворачивать - если примерно понимать как работает таргетинг, то можно неплохие персональные скидки выбивать

[reniceisnotnice]

P.s.s. Ещё есть вариант блокировать трекеры на уровне сети через adguard home/pihole

[Vadim_Klimov]

Доброго времени суток,

1. в тестовой среде я проверил работу подобного механизма "в принципе", - будет ли вообще работать, далее когда настраивал настоящий телефон - подгонял списки под его работу. Из анализа трафика в тестовой среде, - API точно не могло поменяться, использованные функции тоже, прямо очень сильно он поменяться не должен (бэкенд же не другой)

2. magisk позволяет скрывать рутирование, банковские приложения работают. Модули magisk - смотря откуда брать, если официальные, то вероятность проблем меньше

3. конкретно этот телефонный аппарат - отдельное устройство для тех приложений, для которых действует обязательство выявлять средства обхода блокировок. Для личной/частной жизни можно иметь отдельное устройство без них (что я хочу попробовать)

4. это и есть отдельное устройство, касательно других операционных систем - требует проверки то, как будут в них работать государственные приложения (будут ли вообще). Т.к пока не приходилось проверять - пока оставил Android, в дальнейшем хочу попробовать LineageOS, далее по ситуации. Банов пока не было, касательно реальных контактов и информации - если какой-то сервис банит за их отсутствие/подтасовку - я бы подумал о целесообразности его использования

[reniceisnotnice]

Так вот о том и речь, что васян-моды с форума с рут-привелегиями не очень дружат с приложениями, через которые можно набрать кредитов или переоформить жилье. Для себя решил просто физически разделить симку госуслуг с приложением на разные устройства

[alexwlpr]

Я себе такое реализовал связкой из 3х компонентов.

v2RayNG в режиме прокси (открыт 1 порт на localhost)

Adguard. В нём подключен прокси (от v2Ray) и сделано разграничение, кому ходить через прокси, кому нет.

VPNHide Next. А вот тут нужен рут. Данный проект позволяет скрыть от избранных приложений тоннели, порты и т.д. Проверка RKNHardering и YourVPNDead не показала ничего такого, что должно было бы засветить мой сервер. Засунул в него все яндексы, озоны и гос. услуги.

И дополнительный, для самоуспокоения. HMA OSS. Спрятал в нём все приложения для туннелирования и рута от тех же яндексов, озонов и т.д.

Итого имею телефон в котором параллельно работает Сбербанк и Instagram.

Ссылки

VPN Hide Next: https://github.com/soranerai/vpnhide_next

HMA OSS: https://github.com/frknkrc44/HMA-OSS

Остальное всем известно.

[Vadim_Klimov]

Благодарю за ссылки, надо почитать на досуге

[Solmik]

Хорошая статья.

Я так глубоко в софт залезать не решаюсь, но фотокамеру блокирую физически.

Телефон у меня в чехле, сделал разрез скальпелем и вставил непрозрачную шторку.

Так и фотокамера целее будет, не поцарапается.

Ещё бы на микрофон выключатель поставить.

[Vadim_Klimov]

Да, с микрофоном и камерой мне тоже кажется было бы комфортнее с физическими выключателями. А то на собраниях/конференциях можно не заметить, что что-то из них включено

[VladislavShter]

Хорошая статья! Но метод реализации трудозатратный, такое не под силу обычному человеку.

[Vadim_Klimov]

С точки зрения затрат по времени, - наверное да, не много кто сможет потратить на такое занятие. Если идея найдëт положительный отклик в глазах читателей, - возможно будет уже инструкция/репозиторий с автоматическим скриптом, который сам всë сделает на устройстве

[Last26]

Так есть уже графенос..чего велосипед то изобретать) ну и софт отечественный не используй..пользуйся личными кабинетами на сайтах ..вот и весь простой рецепт)

[nehrung]

Этот рецепт годится не для всех аппаратов - например, для камерофонов использование Lineage и Graphen приведёт к отказу от использования штатных приложений "Камера" со всеми ихними вкусными фишками (а известный костыль в виде модов гуглокамеры не решает эту проблему на 100%, а лишь весьма и весьма частично).

Но статья ценная и полезная. Мы ведь не знаем, сколько десятков лет придётся жить со всем этим... Десятки - оценка, конечно, пессимистичная, но надо помнить, что предыдущий подход к этому снаряду продержался более 70. Значит, покуда ещё можно собирать и складировать полезную инфу - надо это делать.

[Last26]

Я пробовал всё от postmarketos, ubuntu touch, linage ..selfish .. И до графена..В итоге пришёл к тому, что альтернатив графену просто нет..все ..абсолютно все альтернативные ОС это огромная гора компромиссов..там естественно никогда не будет всего того удобного на что тратят деньги производители смартфонов..большие деньги) так что любая альтернативная ОС это про безопасность..контроль над системой..но никак не про удобство и про тот пользовательский опыт к которому все в основном привыкли ) поначалу было трудно и неудобно..но потом когда привыкаешь то оказывается что бы фоткать показания водопроводных счетчиков достаточно просто какой то камеры) в конце концов это просто выбор) да можно внешники костылями на роутере ограничивать подозрительную активность через свой днс или фаервол..можно даже ставить фаервол и рутовать..но все это костыли..зачем бороться с последствиями если можно устранить причину )

[Vadim_Klimov]

А здесь имели место быть два обстоятельства, первое - это то что нужно именно под Гос приложения(иначе зачем этим всём заниматься). И второе - это когда у тебя есть терминал и рут-доступ, остальное уже без разницы, не важно какая оболочка, - консоль везде одна, хоть это умный унитаз, хоть космическая ракета(образно конечно же)

Графеном, Линиго и аналогичными системами я ни разу не пользовался, это пока только в планах)